Análisis forense del móvil ¿Cómo pueden los analistas acceder a archivos de tu móvil que fueron eliminados?

Los análisis forense de los móviles se han convertido en una de las herramientas principales para los analistas poder acceder a los archivos móviles que fueron eliminados de dicho dispositivo, esto con la finalidad de recolectar pruebas judiciales que puedan resultar valiosas para determinar el estudio de un caso en específico.

Para poder llevar a cabo estos tipos de estudios es necesario tener un equipamiento necesario, no solo para poder investigar a fondo sino para poder proteger la integridad física del dispositivo a analizar. Por lo que estos procedimientos son realizados con dispositivos diseñados exclusivamente para la extracción de datos de dispositivos móviles.

Hay que mencionar que también se le realiza este tipo de actividades a cualquier dispositivo que cuente con una memoria interna y una capacidad de comunicación.  Por lo tanto, teniendo en cuenta la importancia de todo esto a nivel judicial principalmente, aquí te vamos a enseñar cómo los analistas pueden acceder a estos archivos que ya fueron eliminados de un dispositivo tecnológico, para ello sigue detalladamente todo lo que te enseñaremos a continuación.

¿Qué son los datos forenses de mi móvil y qué información se encuentra en ellos?

Este tipo de análisis forense se ha convertido en una rama del análisis forense digital, el cual se encuentra relacionado directamente con la recuperación de pruebas y datos digitales extraídos ya sea de un dispositivo móvil, tablet u ordenador, por lo que este tipo de análisis puede llevarse a cabo en cualquier dispositivo tecnológico que cuente con una memoria interna y tenga una capacidad de comunicación, incluyendo los dispositivos GPS y PDA.

Por lo tanto, se puede decir que a pesar de llamarse análisis de forense móvil, no solo está dedicada al estudio de los archivos eliminados en los dispositivos móviles, sino en todos aquellos que permitan la comunicación entre dos o más personas. Gracias a este tipo de estudios las autoridades han podido descubrir muchas informaciones importantes al momento de llevar a cabo un análisis forense judicial.

Y es que está completamente comprobado que los smartphone son una fuente muy valiosa de información para la mayoría de las investigaciones, siendo estos uno de los aparatos tecnológicos más utilizados en todo el mundo. Es así como en estos tipos de aparatos los jueces han logrado encontrar una gran cantidad de evidencia, pistas y rastros importantes al momento de analizar cada una de las actividades almacenadas en ellos.

En estos casos los expertos analistas se encargan de estudiar cada uno de los detalles necesarios como lo es cuando se incluyeron los contactos, su fecha de creación, con qué frecuencia se comunicaban entre sí, cuáles fueron los últimos números con los que se comunicó, recuperación de correo electrónico, mensaje de textos, datos de VoIP, GPS, historial de Internet, conversaciones de mensajería instantánea, todos los datos identificados en un terminal serán completamente analizados.

¿Realmente se pueden obtener los datos eliminados de un smartphone?

Aunque son muchos los usuarios que aún no conocen este tipo de técnicas utilizadas para recolectar evidencia e información forense por parte de las autoridades en muchos países, lo cierto, es que poder llevar a cabo este tipo de análisis es completamente posible gracias a diferentes medidas utilizadas por los analistas expertos en estas áreas.

Una manera de poder llevar esto a cabo es a través de memoria flash, esta memoria también conocida como memoria extraíble es actualmente utilizada por la mayoría de los teléfonos móviles inteligentes, así como por cámaras digitales, tabletas, entre otros.

Para que puedas entender un poco más esto, aquí te explicamos cómo funciona la memoria flash en este tipo de casos:

Memoria flash ¿Cómo funciona?

La memoria flash es un chip NAND que por lo general suele tener un bajo precio en el mercado y es de tamaño pequeño, actualmente es usado por un gran número de usuarios en todo el mundo, la cual tiene como función ayudarle a almacenar datos a los usuarios, ya sean archivos, fotos, vídeos, mensaje de texto, registros, instalar aplicaciones, entre otros. Pero lo que muchos usuarios no saben es que es una herramienta muy útil para lo que es la recuperación de datos.

Debido a que estas tarjetas de almacenamiento contienen información muy valiosa, las tecnologías de recuperación de datos flash han crecido y cada vez son más importantes, aunque hay que mencionar que el proceso de recuperación de datos en ellas es bastante complicado. Sin embargo, los expertos analistas forenses cuentan con las herramientas necesarias para llevar a cabo esta extracción de datos a pesar que los mismos ya están eliminados.

Estos recuperadores de información flash también son usados por muchas personas para lograr extraer la información contenida en ellas cuando estas se deterioran, mayormente se les suele deteriorar el controlador. Hay que tener presente que ellas están formadas por una memoria y un controlador, siendo el controlador el encargado de leer los datos de la memoria con un orden especial conocido como DATA Mix.

¿Qué tipo de información se puede recuperar con el análisis forense de los datos?

Gracias a toda esta técnica de análisis forense móvil actualmente es posible recuperar prácticamente cualquier tipo de datos que haya sido borrado de los dispositivos móviles o cualquier otro aparato que cuente con una memoria interna. Todo esto ha permitido que las autoridades puedan esclarecer muchos casos relacionados con algunos sucesos criminales sin culpables.

De acuerdo con todo esto, aquí te enseñamos los diferentes tipos de información que se pueden extraer de un dispositivo tecnológico a través de un análisis forense a pesar de que los mismos ya hayan sido eliminados:

• Mensajes de texto, chat de mensajería instantánea, Telegram, WhatsApp, Skype, Viber, entre otros.
• Historiales de llamadas eliminados, entrantes, salientes y perdidas.
• Ubicaciones GPS, etiquetado GEO de imágenes, fotos, enviados, recibidos.
• Correos electrónicos eliminados, salientes, entrantes y borradores.
• Registro de las redes sociales y aplicaciones del móvil, tiempo de actividad, inicios de sesión, frecuencia de uso.
• Datos Wifi, SSID, MAC, IP.
• Historial de Internet, últimas páginas visitadas, palabras clave introducidas, búsquedas, historial, caché.
• Bluetooth, marca de tiempo, dispositivos emparejados.
• Archivos multimedia eliminados, fotos, vídeos, notas de audio, enviadas y entrantes.

Conoce cuáles son los métodos que utilizan los analistas para obtener los archivos eliminados de tu móvil

Hay que mencionar que estos análisis para obtener los archivos eliminado de tu smartphone son realizados a través de diferentes métodos utilizados por los analistas, por lo que resulta muy importante poder conocer cuáles son cada uno de ellos y así poder entender mucho mejor todo esto.

Para ello sigue cada uno de los métodos que te explicaremos a continuación:

Adquisición física

Este es actualmente el método más utilizado por parte de los analistas forenses, el mismo se debe realizar con mucho cuidado, para ello es necesario crear una copia del original, esto evitará riesgos de que se pueda dañar o perder las pruebas. Al realizar una copia exacta del original permite que se puedan guardar cada una de las evidencias potenciales.

Una de las principales ventajas de la adquisición física es que permite poder obtener pruebas de toda aquella información que ya ha sido eliminada del móvil. Sin embargo, la misma requiere de mucha dificultad para su aplicación, por lo que se considera el método más complejo y difícil, el cual puede requerir de mucho tiempo para hacerlo correctamente.

Adquisición lógica

Este método consiste principalmente en ejecutar una copia de los archivos almacenados en el dispositivo a analizar, esto se realiza a través de las propias instrucciones del fabricante del mismo, es decir, a través de los mecanismos que se usan para la sincronización del smartphone con un ordenador de mesa o portátil.

Todo esto permite que se pueda conseguir toda la información contenida en el sistema operativo del terminal. La ventaja de la adquisición lógica es que es sencilla de aplicar y bastante efectiva a pesar de que no permite extraer aquellos datos que ya fueron eliminados.

Adquisición de sistemas de ficheros

Finalmente se puede encontrar lo que es la adquisición de sistemas de ficheros, la misma le permite a los analistas poder extraer todos los ficheros que sean visibles durante el sistema de ficheros, al igual que el método anterior no funciona para aquellos datos ocultos o que ya fueron eliminados, sino únicamente para todo lo que esté visible. Pero sin duda alguna este proceso es muy eficaz, aunque también va a depender mucho del tipo de investigación que se esté realizando.

La adquisición de sistema de ficheros es el método más sencillo de ejecutar de los tres. Para poder ejecutarlo los analistas aprovechan los mecanismos propios del sistema operativo para realizar las respectivas copias de los ficheros. Un ejemplo de esto sería un análisis forense a un smartphone Android, para esto se hará uso de Android Device Bridge (ADB) para así poder recuperar cierta información que anteriormente fue eliminada.

Esto se debe a que este tipo de SO al igual que le SO de iOS son parte de una estructura que utiliza una base de datos SQlite para almacenar casi toda la información en ellos. Esta es una de la principal razón del porqué los ficheros eliminados no se marcan sino únicamente aquellos que aparecen como visibles en la sobre escritura. Sin embargo, todos ellos seguirán siendo temporalmente disponibles, por lo que pueden ser recuperables.

¿Cómo saber cuál de los tres métodos es el más adecuado para analizar un smartphone?

Poder seleccionar uno de estos métodos no es tarea fácil, ya que se debe identificar cuál de ellos es el más preciso para poder descubrir la información que se está buscando. Para estos casos es necesario evaluar varios aspectos que ayudarán a la selección de uno de ellos tres como lo es el nivel de precisión exigido, el tiempo que se dispone para ejecutar el análisis, el tipo de información de interés, que información corre riesgo de perderse, los datos eliminados, aplicaciones borradas, entre otros.

Por lo tanto, para poder seleccionar el más adecuado de ellos también será importante tener presente las siguientes pautas que te ayudarán a saber qué tipo de decisión debes tomar en estos casos:

• Si el dispositivo a evaluar se encuentra encendido.
• La depuración de USB está activa.
• Si el terminal se encuentra bloqueado, en el caso que sea así y no se pueda desbloquear de ninguna manera se recomienda usar el método de adquisición física.
• En el caso que se necesite autorizar el ordenador para la extracción de datos, entonces debes colocar el terminal en modo avión y usar el método de adquisición lógica.

Para poder llevar a cabo este procedimiento de análisis forense es muy importante poder contar con varias herramientas y detalles como lo son: El nivel de dificultad del procedimiento, el tiempo y el riesgo de perder las pruebas allí contenidas.

¿Cómo puede el análisis forense de los datos ayudar a resolver crímenes?

Los analistas forenses tienen como objetivo llevar a cabo una recolección de datos como parte de una investigación de un hecho criminal o secuestro con la finalidad de ayudar a esclarecer lo ocurrido allí. Estas investigaciones forenses se ejecutan cuando se considera que los datos del teléfono inteligente son cruciales para el caso, ya que allí pueden encontrarse las pruebas necesarias para descubrir toda la verdad.

Un ejemplo de esto fue lo ocurrido en el año 2014 en Minnesota cuando dos niñas fueron desaparecidas, gracias a los resultados del análisis forense las autoridades pudieron dar con el secuestrador. Al igual que este, muchos otros casos han podido ser descubiertos gracias a todos los datos recolectados en el teléfono ya sea del agresor o de la víctima.

Para poder ayudar a resolver los crímenes estos analistas sólo necesitan tener una prueba contundente, como lo puede ser un mensaje de texto, una imagen, el registro de llamada, la geolocalización, el uso de aplicaciones, entre otras. Simplemente con un dato como estos se puede iniciar un seguimiento exacto contra las personas involucradas en el hecho.

Cualquier tipo de información obtenida en estos casos puede ayudar a las autoridades a resolver un crimen, teniendo en cuenta que los smartphone almacenan demasiada información de los ciudadanos. Cuando se realizan estos análisis forenses muchas personas cercanas a la víctima son interrogadas y analizadas sin ser el sospechoso principal, donde los teléfonos de dichas personas también son investigados.

Al igual que los teléfonos de las víctimas, cualquier smartphone de un amigo cercano o incluso familiar podría ayudar a dar con el paradero de la persona si se encuentra desaparecida. Por lo tanto, este tipo de investigaciones son cruciales para que las autoridades puedan dar con una respuesta correcta ante cualquier suceso criminal.

Riesgos para los usuarios ¿Por qué debes eliminar correctamente los datos de tu móvil al venderlo o desecharlo?

Seguramente después de descubrir lo que es el análisis forense de los smartphone te estarás preguntando si todos tus datos en el móvil están en riesgo, especialmente al momento de venderlos, desecharlo o incluso al perderlo. Hay que tener en cuenta que cuando vendes tu terminal por lo general se realiza un reinicio de fábrica con la finalidad de eliminar por completo todos los datos en él.

Pero como se puede ver cuando se realiza una investigación forense en el móvil no hay garantías de que tus datos seguirán siendo privados. Y es que lo cierto de todo esto es que no existe una manera de poder proteger tus datos del móvil completamente frente a un investigador comprometido e inteligente, ya que los mismos tienen todas las herramientas necesarias para intentar revivir todos los datos eliminados por el usuario.

Sin embargo, no todo está perdido para los usuarios en cuanto a su protección de datos, es así como actualmente y gracias a la constante evolución tecnológica hoy en día se pueden encontrar herramientas de protección de datos que te ayudarán a evitar este tipo de extracción de datos, aunque para que esto funcione ante uno de los analistas forenses hay que tener mucha suerte.

Una manera de intentar mantener todo esto fuera de peligro sea cual sea la situación es manteniendo todos los datos cifrados, para ello debes utilizar contraseñas seguras y sobre todo no hacer absolutamente nada que requiera que tu smartphone tenga que ser analizados por estos expertos.

De acuerdo con todo esto, ¿las autoridades están en toda la capacidad de poder recuperar imágenes, mensajes de texto, llamadas y demás archivos borrados del móvil? La respuesta a todo esto es si, la única manera de poder proteger tus datos ante esto es cifrándolos, pero nada de esto te puede asegurar que los datos se mantengan en privado a pesar de que los mismos hayan sido eliminados.

Como lo hacen y el peligro de tu privacidad al desechar tu teléfono sin eliminar tus datos correctamente

Hay que mencionar que la recuperación de estos datos y archivos borrados de un dispositivo móvil no son nada sencillo de recuperar, ya que se trata de un proceso sumamente complicado donde solo un analista experto puede recuperarlos. Algunos de los programas de análisis de los forenses no son compatibles con el sistema de archivos YAFFS2.

Es por ello que los expertos forenses en muchas ocasiones pueden encontrarse con programas que no son capaces de recuperar ningún tipo de información del dispositivo móvil. Tal cual como se mencionó anteriormente en el post, la recuperación de dato suele realizarse a través de tres métodos, el experto debe escoger cuál de ellos es el más conveniente y donde tenga un menor margen de error.

Por lo tanto, se puede decir que recuperar todos estos datos borrados es muy difícil de lograr al menos que lo haga una persona experta en el área. Esto no quiere decir que tus datos privados del móvil no estén en peligro aún después de haberlos borrados. Pero mientras tu smartphone no caiga en las manos de un analista forense, entonces difícilmente estos datos y archivos eliminados puedan volver a salir a la luz pública,.

Especialmente si los mismos se encontraban cifrados al momento de su eliminación. La manera más fácil de mantener todos tus datos del móvil seguro es evitando que tu terminal tenga que ser manipulado por uno de estos analistas, en caso de esto suceder posiblemente tu privacidad se encuentre en riesgo ya que podrían conocer todo aquellos que has querido ocultar eliminando dicha información.